0 FUJITSU PUBLIC Copyright 2015 FUJITSU FUJITSU Security Solution SURIENT MRS

1 FUJITSU PUBLIC Copyright 2015 FUJITSU Eine digitalisierte Welt benötigt hohe IT- Sicherheit Unsere vernetzte Welt, in der wir leben Services, die dies ermöglichen bzw. erleichtern Infrastrukturen auf denen dies basiert Big Data Benutzerzentrierte Mobilität Cloud Wo bleibt die Sicherheit?

2 FUJITSU PUBLIC Copyright 2015 FUJITSU Angriffspunkte End2End: Endpunkt – Übertragung - Rechenzentrum Zugriff auf kritische Daten Admins können auf sensible Daten unbemerkt zugreifen Daten werden abgefangen Ausgehende Daten können abgefangen, mitgelesen und manipuliert werden Hackerangriffe Durch nicht durchgängiges Monitoring werden Hackerangriffe erleichtert; Logs können verfälscht werden Physischer Zugriff auf Systeme durch unzureichend gesicherte Zugriffsprozesse Remote Zugriff Übernahme und Steuerung der Systeme durch Fernzugriff Bildschirminhalte können mitgelesen werden Webcam und Mikrofon (intern/extern) können aktiviert und gesteuert werden (Raumüberwachung möglich) Externe HDD, USB können Viren und Backdoors unbemerkt installieren Maus- und Tastatureingaben können mitgelesen werden Hauptspeicher speichert Daten unverschlüsselt Interne Datenträger (HDD, SSD, DVD) sind trotz Verschlüsselung lesbar BIOS, OS, Treiber, Anwendung Können Backdoors enthalten ExtranetIntranetCloudInternet Kommunikation (Internet/LAN/WAN) Backdoors in aktiven / passiven Netzwerk-Komponenten

3 FUJITSU PUBLIC Copyright 2015 FUJITSU Warum ist der Schutz vor physischen Zugriff so wichtig? Falls ein Angreifer direkten Zugriff auf die Hardware (HDD, RAM, etc.) hat, gibt es kaum ein Möglichkeit das System adäquat zu schützen. FUJITSU SURIENT MRS schützt die Komponenten im Rack vor unberechtigtem Zugriff durch:  Steuerung der Berechtigungen  Überwachung der Türen  Protokollierung der Aktionen Angriffspunkte End2End: Endpunkt – Übertragung - Rechenzentrum Physischer Zugriff auf Systeme durch unzureichend gesicherte Zugriffsprozesse

4 FUJITSU PUBLIC Copyright 2015 FUJITSU Neuartige SURIENT MRS mit physisch gesichertem Zugang zu den Servern und Komponenten Überblick Investitionsschutz Diese SURIENT MRS kann einfach in bestehende Rechenzentrumsinfrastrukturen integriert werden Berechtigungskonzept Nur Berechtigte haben physischen Zugriff auf die Server und Komponenten in den Racks bzw. Cages Auditfähigkeit Alle Zugriffe und Aktionen werden auditfähig protokolliert Benutzerführung Benutzerführung erfolgt über einfache und intuitive Menüs

5 FUJITSU PUBLIC Copyright 2015 FUJITSU Nur Berechtigte haben physischen Zugriff auf die Server und Komponenten in den Racks bzw. Cages Authentifizierungskonzept Zentrales User- Managaement Durch das integrierte zentrale User-Management können die Zugangsberichtigungen jederzeit angepasst werden. Damit können auch sehr schnell Berechtigungen gelöscht werden Biometrische Authentifizierung Benutzer werden eindeutig über biometrische Verfahren (FUJITSU PalmSecure ID Match) authentifiziert Granulares Berechtigungskonzept Zugriffsrechte können auf einzelne Türen der Racks/Cages (vorne/hinten) festgelegt werden Protokollierung Unberechtigte Zugriffsversuche werden durch Sensoren erkannt und protokolliert

6 FUJITSU PUBLIC Copyright 2015 FUJITSU Lösungskomponenten Standard 19” Racks (1, 2 oder 3 Käfige) mit elektromechanischen Schlössern, Sensoren und einem Rack Management System (RMS) zur Überwachung des Racks Biometrische Authentifizierung via PalmSecure ID Match für Zugangskontrolle und Freischaltung der Schlösser Rack Control Server zur Steuerung und Überwachung mehrerer Racks Integriertes Monitoring und Protokollierung aller Aktionen Installation und Setup Service Training Easy to use SURIENT MRS bestehend aus:

7 FUJITSU PUBLIC Copyright 2015 FUJITSU Funktionalität und Ablauf Alle Anwender / Administratoren müssen sich mittels Enrollment auf dem PalmSecure ID Match registrieren. Auf der SmartCard werden neben den User Daten die Templates des Venenscan gespeichert. Dies erfolgt mittels einer Webapplikation von einem beliebigen Client System aus. Auf den Rack Control Servern werden die Zugriffsrechte für die Anwender / Administratoren für die für sie freigegebenen Racks/Cages konfiguriert. Alle Aktionen werden protokolliert und einem Monitoring System zur Verfügung gestellt. Die Anwender / Administratoren können dann über die Applikation im PalmSecure ID Match auswählen welches Rack/Cage sie ver- bzw. entriegeln wollen. Nach der erfolgreichen Authentifizierung und Überprüfung der Rechte wird dann die entsprechende Aktion ausgeführt

8 FUJITSU PUBLIC Copyright 2015 FUJITSU Ablauf Öffnen/Verriegeln eines Racks *1 Für das Enrollment wechselt das PalmSecure ID Match automatisch in den Enrollment Dialog. Anschließend kann dann wieder zu (1) gewechselt werden. Überprüfe Authentizität Überprüfe Zugriffsrecht e Öffnen Verriegel n Rack Control Server PalmSecure ID Match OK Nicht OK OK *2 Um mehrere Racks gleichzeitig zu administrieren können mehrere Cage IDs eingegeben werden * *1

9 FUJITSU PUBLIC Copyright 2015 FUJITSU Vorteile und Nutzen Biometrische Authentifizierung Kein „Duplizieren“ der Schlüssel oder ID-Karten möglich Keine Sicherheitsrisiken durch Verlust von Schlüsseln oder ID-Karten Nachdem ein Mitarbeiter das Unternehmen verlassen hat, kann der Zugang durch Löschen der Berechtigung gesperrt werden (kein Einziehen von Schlüsseln, ID Karten, … notwendig) Ent- und Verriegeln der Racks auch remote von einer beliebigen Lokation aus möglich (konfigurierbar) Alle Aktionen werden einem Monitoring System zur Verfügung gestellt Die Lösung kann einfach auf aktuelle Anforderungen erweitert oder angepasst werden Die FUJITSU SURIENT MRS

10 FUJITSU PUBLIC Copyright 2015 FUJITSU Internes Rechenzentrum mit erhöhten Sicherheitsanforderungen für einzelne Bereiche  Infrastruktur für Bereiche mit erhöhten Sicherheitsanforderungen kann über die gesicherten Racks extra abgesichert werden  Durch Racks mit bis zu 3 Käfigen können auch kleinere Einheiten (13 HE) abgesichert werden Use Cases Hoster (Beispiele: UNI-Betrieb, Housing Provider)  Einzelnen Instituten oder Abteilungen (z.B. UNI-Betrieb) oder einzelnen Kunden (Housing Provider) können auf kleinstem Raum abgesicherte Umgebungen zur Verfügung gestellt werden, zu denen nur dedizierte Personen Zugang haben Hoster oder interne IT mit über einen Campus verteilten Rechenzentren  Zentrale Steuerung und Überwachung aller Racks in beliebig verteilten Rechenzentrum Filialbetrieb (N Lokationen mit wenigen Racks)  Erhöhte Sicherheit durch „Colocation Racks“ mit besonderen Sicherheitsmerkmalen  lokale und zentrale Steuerung  Lokales Enrollment von einem zentralen Administrationssystem aus möglich

11 FUJITSU PUBLIC Copyright 2015 FUJITSU Konzept und Architektur  Eine Managed Rack Lösung besteht aus 1-n Blöcken  In jedem Block steuert und überwacht ein Rack Control Server die angeschlossenen Racks/Cages (1- 16)  Für jeden Block kann konfiguriert werden, über welche PalmSecure ID Match die Zugangskontrolle und Steuerung erfolgen soll  Das Enrollment der SmartCards erfolgt von einem beliebigen Admin Client über ein Web-Interface  Optional kann für das Enrollment ein eigenes PalmSecure ID Match eingesetzt werden  Der Rack Control Server stellt für die Integration eines Monitoring Systems ein entsprechendes Interface bereit Enrollment und Monitoring Rack Control Server Block 1 PalmSecure ID Match Block 1 … Rack/Cage 1 Rack/Mgmt. System Rack/Cage 2 Rack/Mgmt. System Block 1 Customer LAN Rack Control Server Block n … Rack/Cage 1 Rack/Mgmt. System Rack/Cage 2 Rack/Mgmt. System Block n … PalmSecure ID Match Enrollment Rack/Cage n Rack/Mgmt. System Rack/Cage n Rack/Mgmt. System PalmSecure ID Match Block n

12 FUJITSU PUBLIC Copyright 2015 FUJITSU Caging im Rechenzentrum - ohne Zäune Racks sind physisch durch Zäune gesichert Racks sind durch SURIENT MRS gesichert Vorteile: Geringer Platzbedarf und damit niedrigere Kosten Reduzierte Sicherheitsrisiken

13 FUJITSU PUBLIC Copyright 2015 FUJITSU Lösungsstruktur - Basispaket 1 Rack FUJITSU M2 oder Emerson- Knürr DCM Colocation mit 1, 2 oder 3 Käfigen  Elektromechanisches Schlösser (MLR1000)  RMSII compact  Türkontaktsensoren  Optional: Penetration Sensoren 1 Rack Control Server PRIMERGY RX PalmSecure ID Match FUJITSU SURIENT MRS Software Mit Erweiterungen Installations-, Konfigurations- und Übergabeservice runden das Basispaket ab Installation und Konfiguration der Infrastruktur Inbetriebnahme in der Kundenumgebung Übergabe und Einweisung an den Kunden Die Solution wird fertig installiert und vorkonfiguriert geliefert Das Basispaket enthält alle notwenigen Komponenten für einen Block einer FUJITSU SURIENT MRS Das Basispaket kann beliebig erweitert werden: Zusätzliche Racks unterschiedlicher Typen PalmSecure ID Match Systeme zur lokalen oder zentralen Steuerung / Enrollment Weitere Basispakete für zusätzliche Blöcke Services  Zusätzliche Servicepakete für Erweiterung, Beratung und Training runden die Lösung ab

14 FUJITSU PUBLIC Copyright 2015 FUJITSU Q3Q4 Rack Solution Sealed Rack Solution (SRS)  Schutz vor physischem Zugriff mit verstärkten Hardware Cages  Schutz vor elektronischen Angriffen mit geschlossenen Ports und Ende-zu-Ende- Verschlüsselung Managed Rack Solution (MRS)  Nur Berechtigte haben physischen Zugriff auf die Server und Komponenten in den Racks bzw. Cages  Zugriffe und Aktionen werden auditfähig protokolliert  Benutzerführung erfolgt über einfache und intuitive Menüs Xxx Q3 Q1 Q2Q4Q2 Not decidedStatus 60/EOL as long as stock lasts New vs last month Roadmap product Xxx Managed Sealed MRS 1.0  Initial version SRS POC  POC only MRS 1.1  Monitoring mittels Nagios / Incinga SRS 1.0  Initial version MRS POC  POC only

15 FUJITSU PUBLIC Copyright 2015 FUJITSU  Verwendung von Standard 19” Racks mit elektromechanischen Schlössern und Sensoren  Nur berechtigte Benutzer haben physischen Zugriff auf die Server und Komponenten in den Racks bzw. Cages  Benutzer müssen sich mit biometrischen Methoden authentifizieren. Daher können Berechtigungen nicht an Dritte weitere gegeben  Alle Zugriffe und Zugriffsversuche werden auditfähig protokolliert  Setup, Installation und Training werden an einem Tag beim Kunden vor Ort durchgeführt  Kostenersparnisse wegen viel höherer Flexibilität und weniger Platzbedarf gegenüber RZ mit Zäunen Zusammenfassung In aller Kürze  Effektiver physischer Schutz der Racks vor unbefugtem Zugriff  Protokollierung aller Zugriffe mit biometrischer Authentifizierung  Investitionsschutz und Kostenersparnis !

16 FUJITSU PUBLIC Copyright 2015 FUJITSU Informationen & Kontakt Kontakt Thomas Schkoda (Produkt Manager) 

17 FUJITSU PUBLIC Copyright 2015 FUJITSU